Könntet ihr euch das mal anschauen? :)

Izi · 28.05.2005, 14:15

Hab heut mal HijackThis ausprobiert, weil beim MSN plus3 update ein Sponsor mit gedownloaded wurde und ich nun damit probleme habe. (Mysearchnew) Toolbar(wie beispielsweise MSN-Toolbar im iexplorer) konnte ich beseitigen. (vermute ich mal). Dann deinstallierte ich auch MSN plus3 mit dem Sponsor von meinem PC. Doch seltsamerweise befinden sich in "Favoriten" von iexplorer Links, die man nicht löschen, sondern nur öffnen kann.
-
Hier die HijackThis-Logfile... Könnt ihr mir beim auswerten helfen?

Logfile of HijackThis v1.99.1
Scan saved at 14:56:35, on 28.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-ch\msnappau.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HiJackThis\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://GLOBAL.ACER.COM/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {14C25513-F676-9776-5C33-6FB2BA1167C3} - C:\DOKUME~1\**\ANWEND~1\PARTTI~1\rdrdart.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [antehold] C:\DOKUME~1\**\ANWEND~1\flapblue\Cdromshow.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://GLOBAL.ACER.COM/
O16 - DPF: RaptisoftGameLoader - h**p://real.gamehouse.com/real/games/raptisoft/raptisoftgameloader.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103750873109
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Danke schön....

-izi

Rene-gad · 28.05.2005, 15:40

@Izi
Diese Einträge finde ich verdächtig

Zitat:

O2 - BHO: (no name) - {14C25513-F676-9776-5C33-6FB2BA1167C3} - C:\DOKUME~1\**\ANWEND~1\PARTTI~1\rdrdart.exe
O4 - HKCU\..\Run: [antehold] C:\DOKUME~1\**\ANWEND~1\flapblue\Cdromshow.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab

Diese Dateien bei http://virusscan.jotti.org/ überprüfen

Zitat:

C:\DOKUME~1\**\ANWEND~1\PARTTI~1\rdrdart.exe
C:\DOKUME~1\**\ANWEND~1\flapblue\Cdromshow.exe

Izi · 28.05.2005, 18:23

Zitat:

O2 - BHO: (no name) - {14C25513-F676-9776-5C33-6FB2BA1167C3} - C:\DOKUME~1\**\ANWEND~1\PARTTI~1\rdrdart.exe
O4 - HKCU\..\Run: [antehold] C:\DOKUME~1\**\ANWEND~1\flapblue\Cdromshow.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab

soll ich diese mit KillBox löschen?

Zitat:

C:\DOKUME~1\**\ANWEND~1\PARTTI~1\rdrdart.exe

ebenfalls mit KillBox löschen? (Ist ein Trojan-Downloader, so virusscan.jotti.org)

Danke schön!!!

-izi

Rene-gad · 28.05.2005, 18:30

@Izi
Poste bitte Scan-Ergebnisse von Jotti hier. Killbox verwenden nur, wenn ohne Killbox das Löschen im abgesicherten Modus nicht geht.
BTW: Verstehst du den Unterscheid zwischen FIXEN und LÖSCHEN

?

Izi · 28.05.2005, 18:36

-hier die Scan-Ergebnisse-
Datei: rdrdart.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPC

AntiVir -Keine Viren gefunden
Avast -Keine Viren gefunden
AVG Antivirus -Keine Viren gefunden
BitDefender -Trojan.Downloader.Swizzor.BO gefunden
ClamAV -Keine Viren gefunden
Dr.Web -Trojan.Swizzor gefunden
F-Prot Antivirus -W32/Swizzor.BM@dl gefunden
Fortinet -Keine Viren gefunden
Kaspersky Anti -Virus -Trojan-Downloader.Win32.Swizzor.bo gefunden
mks_vir -Win32.4 gefunden (mögliche Variante)
NOD32 -Keine Viren gefunden
Norman -Virus Control Keine Viren gefunden
VBA32 -Trojan-Downloader.Win32.Swizzor.bo gefunden

-oh... den unterschied... öhm nein!

Erklärs dus mir?

michio · 28.05.2005, 18:41

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
http://www.neuber.com/taskmanager/de...s/mdm.exe.html

Rene-gad · 28.05.2005, 18:43

@Izi

Zitat:

Erklärs dus mir?

Anleitung bitte aufmerksam lesen, Registry-Einträge fixen , Datei ..\rdrdart.exe löschen, Scanergebnis von C:\DOKUME~1\**\ANWEND~1\flapblue\Cdromshow.exe wartet man immer noch.

Rene-gad · 28.05.2005, 18:44

Zitat:

Zitat von michio

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
http://www.neuber.com/taskmanager/de...s/mdm.exe.html

Was soll das sein?

Zitat:

Dialogstörung liegt vor, wenn ein Mitglied absichtlich den normalen Verlauf der Dialoge in einem Thread stört. Das kann z.B. durch wiederholtes Unterbrechen der Konversation zwischen anderen Mitgliedern geschehen

Izi · 28.05.2005, 18:54

Zitat:

Anleitung bitte aufmerksam lesen, Registry-Einträge fixen , Datei ..\rdrdart.exe löschen

Okay mach ich...

Zitat:

C:\DOKUME~1\**\ANWEND~1\flapblue\Cdromshow.exe wartet man immer noch.

Sorry, was is mit der?

Und öhm diese Datei, sie existiert nicht mehr!

Danke...

-izi

Izi · 28.05.2005, 19:24

Zitat:

Datei ..\rdrdart.exe löschen

...ich hab sie gefixt!!!

Is das schlimm??

Rene-gad · 28.05.2005, 20:59

Zitat:

Zitat von Izi

...ich hab sie gefixt!!!

Is das schlimm??

Das ist zu wenig. Du musst die Datei LÖSCHEN!!!

wusel · 28.05.2005, 21:03

So, da mich das schon lange nervt, schreibe ich das mal ein wenig verständlich, da das ja „Neue“ wirklich nicht so schnell begreifen können, denn schwimmt ein Mensch, oder versucht sich gerade noch über Wasser zu halten, kann man den nicht zutexten, denn er ist, auch wie im richtigen Leben, wie in der IT nur für knappe Befehle empfänglich, da das Gehirn nun mal nur, im dem Moment, nur das wichtigste verarbeiten kann.

fix (v) = befestigen, bestimmen
delete (v) = beseitigen, streichen, was halt das Löschen ist.

Ja, so einfach kann man das auch erklären.

LG, Christina

Rene-gad · 28.05.2005, 21:11

@wusel

Zitat:

fix (v) = befestigen, bestimmen

und...

Zitat:

delete (v) = beseitigen, streichen

und....
Hier geht es beim FIXEN um etwas ganz Besonderes: bei HJT versteht man darunter lediglich doch löschen, aber lediglich die Registry-Einträge, keine Dateien. Wenn man dagegen von "normalen" Dateien spricht , verwendet man den Begriff löschen...Klar?

wusel · 28.05.2005, 21:35

Ja, ich glaube es ist klar, halt für die Leute, die sich damit beschäftigen, aber die Anderen?

Die wissen doch eigentlich nicht, woher auch, dass da die Starteinträge nur entfernt wurden, na halt mit fix, aber nicht, dass die Datei noch da ist, deswegen ja löschen, aber den Unterschied, kennen sie halt nicht.
Und das sollte man denen einfach rüberbringen.

LG, Christina

Cidre · 28.05.2005, 22:21

@ wusel aka charlie1 aka silver*

Und weißt du was mich nervt?!

Das du trotz meiner Androhung, die Boardleitung, mich und die Member des Boards weiterhin vorführen willst. Ich hatte es dir nochmals ausdrücklich per PM mitgeteilt, daß ich keine weiteren Posts von deinen anderen zur Verfügung stehenden Accounts dulde und trotzdem ignoriert dies.
Siehe auch diesen Thread.

Ich zeig' mich nun ein letztes Mal human und verhänge ab heute, eine 3 monatige Sperre für deine Accounts wusel, charlie1 und silver*!
Solltest du in dieser Zeit einen neuen Account anlegen oder den Account deiner Tochter benutzen, dann werden ALLE dauerhaft gesperrt.

Beherzige nun mein letztmaliges Entgegenkommen und halte dich daran.

Gruß
Cidre

Könntet ihr euch das mal anschauen? :)

Log-Analyse und Auswertung: Könntet ihr euch das mal anschauen? :)